Puncte:0

Ar trebui să protejez sarea înainte de a o stoca într-o bază de date sau să folosesc în schimb un piper (sare secretă)?

drapel in

Dacă am protejat sarea sau am folosit un piper (sare secretă) și un atacator a primit acces la baza de date, el nu poate face un atac cu tabelul curcubeu asupra unui utilizator vizat (o persoană celebră sau importantă).

Ar trebui să folosesc un piper (sare secretă)? Dacă da, atunci:

  • cum să-l faceți unic pentru toți utilizatorii sau pentru un grup de utilizatori (nu îl faceți global și fix)?
  • cum să-l depozitezi în siguranță fără a-l codifica?

Sau ar trebui să protejez sarea? Dacă da, care este mai bine:

  • depozitați o parte din sare în siguranță?
  • criptați sarea în sine? (prin aceasta: cheia folosită pentru criptare nu este cumva un ardei?)
  • extrage sarea dintr-un secret depozitat în siguranță? (de asemenea: secretul folosit nu este cumva un ardei?)
SAI Peregrinus avatar
drapel si
Mesele curcubeu sunt împiedicate chiar și de sărurile publice.
Mohamed Waleed avatar
drapel in
Dar când atacatorul vizează un anumit utilizator, el ar putea genera un tabel curcubeu folosind sarea pe care a spart-o din baza de date.
SAI Peregrinus avatar
drapel si
Cred că ești confuz cu privire la ce sunt mesele curcubeu. https://rsheasby.medium.com/rainbow-tables-probably-arent-what-you-think-30f8a61ba6a5 este o explicație bună.
Puncte:2
drapel si

Alegeți ardei în același mod în care alegeți cheile criptografice: utilizați CSPRNG al sistemului de operare pentru a genera un ardei de 16-32 de octeți (128-256 de biți).

Dacă sistemul dvs. are un modul de securitate hardware (HSM) sau o enclavă securizată, puteți stoca acolo un singur piper pentru toți utilizatorii. În caz contrar, trebuie să utilizați un fișier obișnuit, așa că setați permisiunile de acces în mod corespunzător.

În unele cazuri, este posibil să aveți un ardei per utilizator. Pentru asta, de obicei, nu puteți utiliza un HSM sau o enclavă securizată, deoarece veți avea prea multe intrări pentru aceasta și, de asemenea, va trebui să stocați ce utilizator merge cu ce ardei. Deci, ar putea face lucrurile mai puțin sigure în loc să fie mai sigure.

Sărurile sunt non-secrete prin definiție. Stocați sarea în aceeași bază de date cu hash-ul numelui de utilizator și al parolei.Pentru toate funcțiile curente de hashing a parolelor, sarea face parte din rezultatul algoritmului de hashing a parolei și, prin urmare, nu are nevoie de o coloană separată a bazei de date.

Indiferent de ceea ce faceți, asigurați-vă că aveți o modalitate de a face backup și de a restabili ardeii. La urma urmei, nu va fi susținut de copiile de rezervă ale bazei de date! Dacă s-a pierdut, utilizatorii dvs. nu se pot conecta. Amintiți-vă că securitatea este o combinație de confidențialitate, integritate și disponibilitate, așa că nu lăsați ardeiul să devină un singur punct de eșec.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.